Annonce obligatoire des cyberattaques depuis le 1er avril

En réaction à l’augmentation des cas de cyberattaque et aussi pour obtenir une meilleure vue d’ensemble, le Conseil fédéral a mis en vigueur au 1er avril 2025 une obligation d’annonce pour les exploitants des infrastructures critiques. Comme les communes font également partie des infrastructures critiques, elles sont obligées de signaler toute cyberattaque à l'Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant sa découverte. L’objectif est de renforcer la cybersécurité en Suisse. L’annonce permet à l’OFCS de proposer son aide pour résister à ces attaques et d’alerter les autres exploitants d’infrastructures critiques.

Les autorités et organisations concernées sont par exemple les fournisseurs d’énergie ou d’eau potable, les entreprises de transport, les administrations cantonales et communales. L’attaque doit être annoncée dès lors qu’elle met en péril le fonctionnement de l’infrastructure, a entraîné une manipulation ou une fuite d’informations, ou s’accompagne de chantage, de menaces ou de contrainte.

Formulaire d’annonce OFCS en ligne
Le site de l’OFCS propose un formulaire d’annonce, que l’on trouve sur la plateforme d’échange. Les organisations qui n’ont pas accès à cette plateforme peuvent utiliser un courriel-type, qui se trouve sur le site web lui aussi. L’incident doit être annoncé dans les 24 heures qui suivent sa détection. Si la première annonce est lacunaire, il est possible de la compléter dans les deux semaines. Négliger l’annonce ne sera pas sanctionné pendant les six premiers mois. Ensuite un régime d’amendes entrera en vigueur, début octobre 2025.

Vous trouverez de plus amples informations ici.